Sabinou

Inscrit depuis le le 20/11/2004 à 15:00
2000 messages publiés
Envoyer un message privé
***page de pub éhontée pour le site d'une copine ! ***
Podlit.fr, le podcast littéraire nouvelle génération !
Pour faire court, vous connaissez les podcasts musicaux ? Ben là, c'est version ebooks. Chaque semaine une nouvelle sélection de zibouks, disponibles en libre téléchargement, ou directement livrés chez vous si vous vous abonnez au flux RSS de podlit.
- Oeuvres anciennes libres de droits, mais aussi oeuvres contemporaines soumises par leurs auteurs.
- Ebooks de grande qualité, réencodés proprement et joliment, aux formats pdf, epub et kindle.
Derniers sujets de Sabinou :
SUJET
DERNIER MESSAGE
NOMBRE DE MESSAGES
Par Sabinou - 2000 messages - Ouvert le 08 avril 2014
19
Par Sabinou - 2000 messages - Ouvert le 10 juillet 2013
2
Par Sabinou - 2000 messages - Ouvert le 05 novembre 2012
3
Par Sabinou - 2000 messages - Ouvert le 09 mars 2012
40
Par Sabinou - 2000 messages - Ouvert le 17 février 2012
11
Par Sabinou - 2000 messages - Ouvert le 04 février 2012
1
Par Sabinou - 2000 messages - Ouvert le 27 janvier 2012
3
Par Sabinou - 2000 messages - Ouvert le 13 janvier 2012
2
Par Sabinou - 2000 messages - Ouvert le 30 novembre 2011
18
Par Sabinou - 2000 messages - Ouvert le 14 juillet 2010
0
Derniers messages de Sabinou :
Purée, je déteste ça, 400 pixels gâchés pour rien avant d'accéder au contenu ? Bon sang, c'est criminel !
Petites remarques sur l'article :

« Baptisé Heartbleed ("cœur qui saigne") parce qu'il touche à la technologie qui permet de sécuriser les échanges entre son navigateur et différents services en ligne (sa banque, son webmail, son site de e-commerce, son réseau social...), »
Heu. Non. C'est baptisé ainsi parce que cette faille provient d'un bug dans la façon dont fonctionne le mécanisme du "heartbeat", une sorte  de ping version SSL pour garder une connexion en vie.

« L'exploitation de cette vulnérabilité ne laissant manifestement pas de trace, toute machine qui a utilisé une version affaiblie d'OpenSSL doit être perçue comme compromise. »
Il vient d'où, le mot "manifestement" ? Tu as fait les tests, donc c'est manifeste ?
Tout simplement, afin de ne pas inutilement surcharger les logs, le heartbeat, équivalent informatique sécurisée de "hé, je suis toujours là, ne raccroche pas le téléphone !", n'est pas loggé. Point barre, c'est un principe de conception.

« Suite à la découverte d'Heartbleed il y a quatre jours, »
Non. Mais NON, quoi. Les mots ont leur importance, leur poids. Les employer de travers fait passer pour un distrait qui n'est pas à son boulot (mon opinion), ou, pire, pour un incompétent (le lecteur moyen ou peu indulgent, s'il y ajoute les autres erreurs, sautera sur cette conclusion et laissera tomber Numerama pour PCInpact).
La faille heartbleed a été publiée au grand jour à l'attention de tous il y a quatre jours.
Elle a été découverte il y a deux semaines séparément par deux groupes (un chercheur google, et trois chercheurs de chez Codenomicon), qui se sont coordonnés, et ont cuisiné leur propre recette maison de "responsible disclosure" auprès des grands du web (en oubliant les distros linux et les équipementiers, mais bon).

« Des services de première importance qui étaient affectés ont annoncé avoir corrigé la faille. C'est le cas de Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Gmail, Yahoo Mail, Amazon Web Services, Dropbox, GitHub, SoundCloud et LastPass. »
Justement, Facebook et Google font partie de ceux ayant fait l'objet du "responsible disclosure" mentionné au-dessus, et en principe ils étaient clean avant la publication d'il y a quatre jours.

La partie sur les certificats : il faudrait mentionner que le renouvellement d'un certificat est une opération souvent payante, cela doit jouer un rôle dans la valse-hésitation. Des très grands du web comme Cloudflare excluent même un renouvellement massif et immédiat car aucun partenaire de certification ne parviendrait à suivre, outre le coût faramineux qui suivrait.

Enfin, il faudrait mentionner qu'il faut aussi et en premier lieu changer le MDP de l'adresse mail de messagerie, vu que celle-ci sera impliquée dans la totalité des changements de mots de passe qui vont suivre, alors même qu'il est possible que les boîtes mail (yahoo, par ex) aient été compromises.
Une faille a été découverte dans la version la plus couramment utilisée, et plus récente, de openssl, utilisée par la grande majorité des serveurs web Apache / NginX, version qui était "en prod" depuis deux ans.

Elle permet de copier à distance le contenu de la mémoire vive du serveur, et donc de la totalité des mots de passe et des certificats de sécurité.
Sans laisser la moindre trace de l'intrusion.

Source, par exemple : http://heartbleed.com/

La faille a été découverte hier, et progressivement les distributeurs linux ont poussé une MAJ qui corrige ce bug.

Mais bon, pour l'instant, nombre de sites (via façade web ou serveur mail, par ex) sont encore exposés. Récemment, mail.yahoo.com l'était encore par exemple, il suffisait de lancer un petit script, de choper la RAM, et de copier les combos de login-passwords des utilisateurs connectés pour lire leurs mails.)

Et même si vous avez installé les mises à jour requises, tant que vous ne changez pas de clés de sécurité et de mots de passe, vous restez vulnérables.
(Pour les vendeurs de certificats, qui vont couramment vous demander 25$ pour la révocation d'un certificat et l'émission d'un nouveau, je vous dis pas la fête du slip que ça doit être.)

Vous ne croyez pas que ça mérite un petit billet sur Numerama ?

(Et, simple anecdote, il n'y a même pas de fonction "rechercher" sur les forums de Numerama ? WTF ?!?)
J'ai trouvé un article plus détaillé, entre chèvre et chou, qui remet mieux les choses en perspectives. En somme, les deux parties ont plus ou moins merdé, chacune à sa manière et avec sa stratégie :
http://leplus.nouvel...n-deraille.html
Heu, pardon, ils mettent en exergue le fait que ça annulle la garantie ? C'est ce que j'ai cru lire sur l'image attachée, en tous cas O_o
Je dégaine ma carte joker Jacques Toubon, et je propose de les renommer plutôt "gros smartphone"

(OK, OK )
Je cite l'article, la mise en gras est de moi :
« c'est-à-dire les smartphones, les phablettes ainsi que les tablettes de petit gabarit. »

... what ?!?
Et quand à moi, désolé de la poussée de mauvaise humeur, causée par des évènements sans relation avec Numerama, je n'avais pas à me défouler ici.
Poisson d'avril tout ça je veux bien, mais SANS BLAGUE MERDE, conclure le chapeau de l'article par "EA assure que la majorité des joueurs a déjà opté pour le format numérique.
", là c'est vraiment se foutre de la gueule du monde. Si l'on prétend réfléchir le numérique, il serait bon de se rappeler sa signification.
Il y a bien un mot qui me vient à l'esprit, mais j'ai peur qu'il ne soit pas permis d'écrire "enculé" sur un lieu comme les commentaires de Numerama...
Tu étais encore mineur, à l'époque où il se créait des comptes Free 100 Mo à la pelle, je pense
Il m'a semblé que l'image voulait nous dire "qualité d'image plus haute avec webP pour taille équivalente", nan ?
Attention, je ne cherche PAS à troller, mais le Linux le plus durable que je connais, c'est Debian, avec son LTS de 5 ans (et donc, Ubuntu and co).

Est-ce que, en la matière, la durée de vie de Windows XP n'a pas ENFONCÉ la durée de support des distributions Linux ?

La seule alternative, ça serait que les distributeurs aient une connexion internet (distincte de la connexion au réseau fermé interbancaire) pour aller choper eux-mêmes les mises à jour, je ne suis pas sûr que ça soit des plus sécurisé.
Un bug ? Mon premier tweet remonte à 2011, alors que, d'après l'outil dédié, ça me dit qu'il a été en 2009 O_o
C'est vraiment débile.

J'ai remarqué, aussi, à la fin de la série Breaking Bad, le mot "fuck" avait été bippé, puis, quand on devait le voir écrit, il avait été gommé.

Pourtant, cinq saisons durant, on avait assisté du meutre gore, à des humains défigurés, à de la torture, à des jeunes ados tués, à deux maman assassinées à quelques mètres de leur enfant... Mais, que nenni, de F-bomb, point.

¬_¬
Pourquoi tant de haine ? Ce jeu représente certaines de mes meilleures heures de jeu sur Dreamcast, c'était une tuerie

Maintenant, par contre, je vois mal comment y jouer sans gamepad O_o
J'ai mieux, et c'est illimité et gratuit :

http://www.nsa-cloud.com/
« For your own convenience, we already signed you up! »

Simple remarque gentiment trollesque (car "oui, bon, on sait", hein ), mais la seconde vidéo youtube embeddée est pas mal, elle est en 360p maximum, alors même qu'à un moment on voit que "high definition" est cliqué dans la démo. Bof, quoi, ça ne le fait pas
Haaaaan... Je vois. Merci de la clarification, les gars
Numerama sur les réseaux sociaux